統(tǒng)一身份認(rèn)證及訪問(wèn)限制技術(shù)方案

方案概述工程背景隨著信息化的迅猛開展，政府、企業(yè)、機(jī)構(gòu)等不斷增加基于Internet/Intranet的業(yè)務(wù)系統(tǒng)，如各類網(wǎng)上申報(bào)系統(tǒng)，網(wǎng)上審批系統(tǒng)，OA系統(tǒng)等。系統(tǒng)的業(yè)務(wù)性質(zhì)，一般都要求實(shí)現(xiàn)用戶管理、身份認(rèn)證、授權(quán)等必不行少的平安措施；而新系統(tǒng)的涌現(xiàn)，在與已有系統(tǒng)的集成或融合上，特別是針對(duì)一樣的用戶群，會(huì)帶來(lái)以下的問(wèn)題：1)假如每個(gè)系統(tǒng)都開發(fā)各自的身份認(rèn)證系統(tǒng)將造成資源的奢侈，消耗開發(fā)本錢，并延緩開發(fā)進(jìn)度；2)多個(gè)身份認(rèn)證系統(tǒng)會(huì)增加整個(gè)系統(tǒng)的管理工作本錢；3)用戶須要記憶多個(gè)帳戶和口令，運(yùn)用極為不便，同時(shí)由于用戶口令遺忘而導(dǎo)致的支持費(fèi)用不斷上漲；4)無(wú)法實(shí)現(xiàn)統(tǒng)一認(rèn)證和授權(quán)，多個(gè)身份認(rèn)證系統(tǒng)使平安策略必需逐個(gè)在不同的系統(tǒng)內(nèi)進(jìn)展設(shè)置，因而造成修改策略的進(jìn)度可能跟不上策略的變更；5)無(wú)法統(tǒng)一分析用戶的應(yīng)用行為；因此，對(duì)于有多個(gè)業(yè)務(wù)系統(tǒng)應(yīng)用需求的政府、企業(yè)或機(jī)構(gòu)等，須要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng)，以實(shí)現(xiàn)集中統(tǒng)一的身份認(rèn)證，并削減整個(gè)系統(tǒng)的本錢。單點(diǎn)登錄系統(tǒng)的目的就是為這樣的應(yīng)用系統(tǒng)供應(yīng)集中統(tǒng)一的身份認(rèn)證，實(shí)現(xiàn)“一點(diǎn)登錄、多點(diǎn)漫游、即插即用、應(yīng)用無(wú)關(guān)"的目標(biāo)，便利用戶運(yùn)用。系統(tǒng)概述針對(duì)上述狀況，企業(yè)單位盼望為用戶供應(yīng)統(tǒng)一的信息資源認(rèn)證訪問(wèn)入口，建立統(tǒng)一的、基于角色的和特性化的信息訪問(wèn)、集成平臺(tái)的單點(diǎn)登錄平臺(tái)系統(tǒng)。該系統(tǒng)具備如下特點(diǎn)：?jiǎn)吸c(diǎn)登錄：用戶只需登錄一次，即可通過(guò)單點(diǎn)登錄系統(tǒng)〔SSO〕訪問(wèn)后臺(tái)的多個(gè)應(yīng)用系統(tǒng)，無(wú)需重新登錄后臺(tái)的各個(gè)應(yīng)用系統(tǒng)。后臺(tái)應(yīng)用系統(tǒng)的用戶名和口令可以各不一樣，并且實(shí)現(xiàn)單點(diǎn)登錄時(shí)，后臺(tái)應(yīng)用系統(tǒng)無(wú)需任何修改。即插即用：通過(guò)簡(jiǎn)潔的配置，無(wú)須用戶修改任何現(xiàn)有B/S、C/S應(yīng)用系統(tǒng)，即可運(yùn)用。解決了當(dāng)前其他SSO解決方案實(shí)施困難的難題。多樣的身份認(rèn)證機(jī)制：同時(shí)支持基于PKI/CA數(shù)字證書和用戶名/口令身份認(rèn)證方式，可單獨(dú)運(yùn)用也可組合運(yùn)用?；诮巧L問(wèn)限制：依據(jù)用戶的角色和URL實(shí)現(xiàn)訪問(wèn)限制功能?；赪eb界面管理：系統(tǒng)全部管理功能都通過(guò)Web方式實(shí)現(xiàn)。網(wǎng)絡(luò)管理人員和系統(tǒng)管理員可以通過(guò)閱讀器在任何地方進(jìn)展遠(yuǎn)程訪問(wèn)管理。此外，可以使用HTTPS平安地進(jìn)展管理。全面的日志審計(jì)：精確地記錄用戶的日志，可按日期、地址、用戶、資源等信息對(duì)日志進(jìn)展查詢、統(tǒng)計(jì)和分析。審計(jì)結(jié)果通過(guò)Web界面以圖表的形式呈現(xiàn)給管理員。雙機(jī)熱備：通過(guò)雙機(jī)熱備功能，提高系統(tǒng)的可用性，滿足企業(yè)級(jí)用戶的需求。集群：通過(guò)集群功能，為企業(yè)供應(yīng)高效、牢靠的SSO效勞。可實(shí)現(xiàn)分布式部署，供應(yīng)靈敏的解決方案。傳輸加密：支持多種對(duì)稱和非對(duì)稱加密算法，保證用戶信息在傳輸過(guò)程中不被竊取和篡改。防火墻：基于狀態(tài)檢測(cè)技術(shù)，支持NAT。主要用于加強(qiáng)SSO本身的平安，也適用于網(wǎng)絡(luò)性能要求不高的場(chǎng)合，以削減投資。分布式安裝：對(duì)物理上不在一個(gè)區(qū)域的網(wǎng)絡(luò)應(yīng)用效勞器可以進(jìn)展分布式部署SSO系統(tǒng)。后臺(tái)用戶數(shù)據(jù)庫(kù)支持：LDAP、Oracle、DB2、Win2kADS、Sybase等?？梢詿o(wú)縫集成現(xiàn)有的應(yīng)用系統(tǒng)的統(tǒng)一用戶數(shù)據(jù)庫(kù)作為SSO應(yīng)用軟件系統(tǒng)的用戶數(shù)據(jù)庫(kù)。領(lǐng)先的C/S單點(diǎn)登錄解決方案：無(wú)需修改任何現(xiàn)有的應(yīng)用系統(tǒng)效勞端和客戶端即可實(shí)現(xiàn)C/S單點(diǎn)登錄系統(tǒng)總體方案設(shè)計(jì)業(yè)務(wù)功能架構(gòu)通過(guò)實(shí)施單點(diǎn)登錄功能，運(yùn)用戶只需一次登錄就可以依據(jù)相關(guān)的規(guī)那么去訪問(wèn)不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的易用性、平安性、穩(wěn)定性；在此根底上進(jìn)一步實(shí)現(xiàn)用戶在異構(gòu)系統(tǒng)〔不同平臺(tái)上建立不同應(yīng)用效勞器的業(yè)務(wù)系統(tǒng)〕，高速協(xié)同辦公和企業(yè)學(xué)問(wèn)管理功能。單點(diǎn)登錄系統(tǒng)能夠與統(tǒng)一權(quán)限管理系統(tǒng)實(shí)現(xiàn)無(wú)縫結(jié)合，簽發(fā)合法用戶的權(quán)限票據(jù)，從而能夠使合法用戶進(jìn)入其權(quán)限范圍內(nèi)的各應(yīng)用系統(tǒng)，并完成符合其權(quán)限的操作。單點(diǎn)登錄系統(tǒng)同時(shí)可以接受基于數(shù)字證書的加密和數(shù)字簽名技術(shù)，對(duì)用戶實(shí)行集中統(tǒng)一的管理和身份認(rèn)證，并作為各應(yīng)用系統(tǒng)的統(tǒng)一登錄入口。單點(diǎn)登錄系統(tǒng)在增加系統(tǒng)平安性、降低管理本錢方面有突出作用，不僅躲避密碼平安風(fēng)險(xiǎn)，還簡(jiǎn)化用戶認(rèn)證的相關(guān)應(yīng)用操作。 系統(tǒng)構(gòu)造圖說(shuō)明：CA平安根底設(shè)施可以接受自建方式，也可以選擇第三方CA。具體包含以下主要功能模塊：身份認(rèn)證中心存儲(chǔ)企業(yè)用戶書目，完成對(duì)用戶身份、角色等信息的統(tǒng)一管理；授權(quán)和訪問(wèn)管理系統(tǒng)用戶的授權(quán)、角色支配；訪問(wèn)策略的定制和管理；用戶授權(quán)信息的自動(dòng)同步；用戶訪問(wèn)的實(shí)時(shí)監(jiān)控、平安審計(jì)；身份認(rèn)證效勞身份認(rèn)證前置為應(yīng)用系統(tǒng)供應(yīng)平安認(rèn)證效勞接口，中轉(zhuǎn)認(rèn)證和訪問(wèn)請(qǐng)求；身份認(rèn)證效勞完成對(duì)用戶身份的認(rèn)證和角色的轉(zhuǎn)換；訪問(wèn)限制效勞應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)獲得單點(diǎn)登錄所需的用戶信息；用戶單點(diǎn)登錄過(guò)程中，生成訪問(wèn)業(yè)務(wù)系統(tǒng)的請(qǐng)求，對(duì)敏感信息加密簽名；CA中心及數(shù)字證書網(wǎng)上受理系統(tǒng)用戶身份認(rèn)證和單點(diǎn)登錄過(guò)程中所需證書的簽發(fā)；用戶身份認(rèn)證憑證〔USB智能密鑰〕的制作；技術(shù)實(shí)現(xiàn)方案技術(shù)原理基于數(shù)字證書的單點(diǎn)登錄技術(shù)，使各信息資源和本防護(hù)系統(tǒng)站成為一個(gè)有機(jī)的整體。通過(guò)在各信息資源端安裝訪問(wèn)限制代理中間件，和防護(hù)系統(tǒng)的認(rèn)證效勞器通信，利用系統(tǒng)供應(yīng)的平安保障和信息效勞，共享平安優(yōu)勢(shì)。 系統(tǒng)交互圖其原理如下：1) 每個(gè)信息資源配置一個(gè)訪問(wèn)代理，并為不同的代理支配不同的數(shù)字證書，用來(lái)保證和系統(tǒng)效勞之間的平安通信。2) 用戶登錄中心后，依據(jù)用戶供應(yīng)的數(shù)字證書確認(rèn)用戶的身份。3) 訪問(wèn)一個(gè)具體的信息資源時(shí)，系統(tǒng)效勞用訪問(wèn)代理對(duì)應(yīng)的數(shù)字證書,把用戶的身份信息機(jī)密后以數(shù)字信封的形式傳遞給相應(yīng)的信息資源效勞器。4) 信息資源效勞器在承受到數(shù)字信封后，通過(guò)訪問(wèn)代理，進(jìn)展解密驗(yàn)證，得到用戶身份。依據(jù)用戶身份，進(jìn)展內(nèi)部權(quán)限的認(rèn)證。統(tǒng)一身份認(rèn)證用戶認(rèn)證統(tǒng)一身份管理及訪問(wèn)限制系統(tǒng)用戶數(shù)據(jù)獨(dú)立于各應(yīng)用系統(tǒng)，對(duì)于數(shù)字證書的用戶來(lái)說(shuō)，用戶證書的序列號(hào)平臺(tái)中是唯一的，對(duì)于非證書用戶來(lái)說(shuō)，平臺(tái)用戶ID〔passport〕是唯一的，由其作為平臺(tái)用戶的統(tǒng)一標(biāo)識(shí)。如下列圖所示：(1)、在通過(guò)平臺(tái)統(tǒng)一認(rèn)證后，可以從登錄認(rèn)證結(jié)果中獲得平臺(tái)用戶證書的序列號(hào)或平臺(tái)用戶ID；(2)、再由其映射不同應(yīng)用系統(tǒng)的用戶賬戶；(3)、最終用映射后的賬戶訪問(wèn)相應(yīng)的應(yīng)用系統(tǒng)；當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只須要增加平臺(tái)用戶證書序列號(hào)或平臺(tái)用戶ID與該應(yīng)用系統(tǒng)賬戶的一個(gè)映射關(guān)系即可，不會(huì)對(duì)其它應(yīng)用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認(rèn)證時(shí)不同應(yīng)用系統(tǒng)之間用戶穿插和用戶賬戶不同的問(wèn)題。單點(diǎn)登錄過(guò)程均通過(guò)平安通道來(lái)保證數(shù)據(jù)傳輸?shù)钠桨病Ｏ到y(tǒng)接入應(yīng)用系統(tǒng)接入平臺(tái)的架構(gòu)如下列圖所示：系統(tǒng)供應(yīng)兩種應(yīng)用系統(tǒng)接入方式，以快速實(shí)現(xiàn)單點(diǎn)登錄：(1)反向代理〔ReverseProxy〕方式應(yīng)用系統(tǒng)無(wú)需開發(fā)、無(wú)需改動(dòng)。對(duì)于不能作改動(dòng)或沒(méi)有原廠商協(xié)作的應(yīng)用系統(tǒng)，可以運(yùn)用該方式接入統(tǒng)一用戶管理平臺(tái)。反向代理技術(shù)：實(shí)現(xiàn)方式為松耦合，接受反向代理模塊和單點(diǎn)登錄〔SSO〕認(rèn)證效勞進(jìn)展交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。(2)Plug-in方式Plug-in：實(shí)現(xiàn)方式為緊耦合，接受集成插件的方式與單點(diǎn)登錄〔SSO〕認(rèn)證效勞進(jìn)展交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。緊耦合方式供應(yīng)多種API，通過(guò)簡(jiǎn)潔調(diào)用即可實(shí)現(xiàn)單點(diǎn)登錄〔SSO〕。統(tǒng)一權(quán)限管理統(tǒng)一身份管理及訪問(wèn)限制系統(tǒng)的典型授權(quán)管理模型如下列圖所示：用戶授權(quán)的根底是對(duì)用戶的統(tǒng)一管理，對(duì)于在用戶信息庫(kù)中新注冊(cè)的用戶，通過(guò)自動(dòng)授權(quán)或手工授權(quán)方式，為用戶支配角色、對(duì)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限，完成對(duì)用戶的授權(quán)。假如用戶在用戶信息庫(kù)中被刪除，那么其相應(yīng)的授權(quán)信息也將被刪除。完整的用戶授權(quán)流程如下：1、用戶信息統(tǒng)一管理，包括了用戶的注冊(cè)、用戶信息變更、用戶注銷；2、權(quán)限管理系統(tǒng)自動(dòng)獲得新增〔或注銷〕用戶信息，并依據(jù)設(shè)置自動(dòng)支配〔或刪除〕默認(rèn)權(quán)限和用戶角色；3、用戶管理員可以基于角色調(diào)整用戶授權(quán)〔適用于用戶權(quán)限批量處理〕或干脆調(diào)整單個(gè)用戶的授權(quán)；4、授權(quán)信息記錄到用戶屬性證書或用戶信息庫(kù)〔關(guān)系型數(shù)據(jù)庫(kù)、LDAP書目效勞〕中；5、用戶登錄到應(yīng)用系統(tǒng)，由身份認(rèn)證系統(tǒng)檢驗(yàn)用戶的權(quán)限信息并返回給應(yīng)用系統(tǒng)，滿足應(yīng)用系統(tǒng)的權(quán)限要求可以進(jìn)展操作，否那么拒絕操作；6、用戶的授權(quán)信息和操作信息均被記錄到日志中，可以形成完整的用戶授權(quán)表、用戶訪問(wèn)統(tǒng)計(jì)表。平安通道供應(yīng)的平安通道是利用數(shù)字簽名進(jìn)展身份認(rèn)證，接受數(shù)字信封進(jìn)展信息加密的基于SSL協(xié)議的平安通道產(chǎn)品，實(shí)現(xiàn)了效勞器端和客戶端嵌入式的數(shù)據(jù)平安隔離機(jī)制。圖：運(yùn)用前圖：運(yùn)用后平安通道的主要用途是在兩個(gè)通信應(yīng)用程序之間供應(yīng)私密性和牢靠性，這個(gè)過(guò)程通過(guò)3個(gè)元素來(lái)完成：〔1〕握手協(xié)議：這個(gè)協(xié)議負(fù)責(zé)協(xié)商用于客戶機(jī)和效勞器之間會(huì)話的加密參數(shù)。當(dāng)一個(gè)SSL客戶機(jī)和效勞器第一次起先通信時(shí)，它們?cè)谝粋€(gè)協(xié)議版本上